CRITICAL🇬🇧 English

CVE-2026-8175

Buffer overflow w IBM Aspera High-Speed Transfer umożliwiający RCE i Auth Bypass

CVSS 9.8v3.1pub. 2026-05-27upd. 2026-06-05

IBM Aspera High-Speed Transfer Endpoint oraz Server w wersjach 3.7.4 do 4.4.7 Fix Pack 1 zawierają podatność typu buffer overflow w komponencie asperahttpd. Błąd umożliwia zdalnym atakującym wywołanie odmowy usługi (DoS), ominięcie uwierzytelnienia (Auth Bypass) lub zdalne wykonanie kodu (RCE) bez żadnych uprawnień.

Pokaż oryginał (EN)

IBM Aspera High-Speed Transfer Endpoint 3.7.4 through 4.4.7 Fix Pack 1 and IBM Aspera High-Speed Transfer Server 3.7.4 through 4.4.7 Fix Pack 1 and IBM Aspera High-Speed Transfer Endpoint are affected by a buffer overflow in the asperahttpd component. This vulnerability could be exploited to cause a denial of service and potentially lead to authentication bypass or remote code execution.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-122 (heap-based buffer overflow) występuje w komponencie asperahttpd odpowiedzialnym za obsługę żądań HTTP w produktach IBM Aspera. Atakujący może wysłać specjalnie spreparowane żądanie sieciowe, które powoduje przepełnienie bufora na stercie (heap). Nadpisanie pamięci może prowadzić do destabilizacji procesu (DoS), obejścia mechanizmów uwierzytelnienia lub przejęcia kontroli nad wykonywaniem kodu na serwerze.

Skutki

Atakujący niewymagający żadnego uwierzytelnienia może zdalnie spowodować niedostępność usługi, ominąć mechanizmy uwierzytelnienia lub uzyskać pełną kontrolę nad systemem poprzez zdalne wykonanie kodu (RCE). Podatność ma krytyczny wpływ na poufność, integralność i dostępność systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://www.ibm.com/support/pages/node/7273615. Zaleca się pilną aktualizację do wersji zawierającej poprawkę oraz ograniczenie dostępu sieciowego do komponentu asperahttpd wyłącznie do zaufanych hostów do czasu zastosowania łatki.

Kogo dotyczy

IBM Aspera High-Speed Transfer Endpoint w wersjach 3.7.4 do 4.4.7 Fix Pack 1 oraz IBM Aspera High-Speed Transfer Server w wersjach 3.7.4 do 4.4.7 Fix Pack 1

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • IBM Aspera High Speed Transfer Endpoint

    APP
    Ibm
    4.4.73.7.4 – 4.4.6
  • IBM Aspera High Speed Transfer Server

    APP
    Ibm
    4.4.73.7.4 – 4.4.6
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth BypassDoSMemory
CWE
Referencje

Powiązane podatności

CVE-2026-8180HIGH7.5ten sam produkt

IBM Aspera High-Speed Transfer Endpoint 3.7.4 through 4.4.7 Fix Pack 1 and IBM Aspera High-Speed Transfer Serv...

CVE-2026-8179HIGH8.8ten sam produkt

IBM Aspera High-Speed Transfer Endpoint 3.7.4 through 4.4.7 Fix Pack 1 and IBM Aspera High-Speed Transfer Serv...

CVE-2020-4434HIGH7.5ten sam produkt

Certain IBM Aspera applications are vulnerable to buffer overflow based on the product configuration and valid...

CVE-2020-4435HIGH7.5ten sam produkt

Certain IBM Aspera applications are vulnerable to arbitrary memory corruption based on the product configurati...

CVE-2020-4436HIGH7.5ten sam produkt

Certain IBM Aspera applications are vulnerable to buffer overflow after valid authentication, which could allo...